Sober, che simpatica canaglia
----------------------------------------------------------------------
SalvaPC News - sicurezza per tutti N. 109 di martedi' 22 novembre 2005
Supplemento a Punto Informatico
----------------------------------------------------------------------
UN ANNO SENZA ALLARMI
---------------------
Si sta diffondendo a macchia d'olio dallo scorso sabato la variante X di
Sober, un "mass mailing worm" che presenta molte caratteristiche comuni con
le precedenti varianti, ovvero l'invio di email contenenti una copia del
worm verso tutti gli indirizzi trovati all'interno del computer infettato.
Solo oggi tuttavia Sober.X e' passato nelle scale degli osservatori
antivirus dalla fase di attenzione a quella di allarme, un evento che negli
ultimi mesi non era piu' accaduto. Sono ora invece attese ulteriori versioni
capaci di creare problemi agli utenti Windows.
Altre varianti di Sober erano gia' state oggetto delle segnalazioni di
SalvaPC, tutte nello scorso anno, il 2004: la I in novembre, la D in marzo e
Sober.C nel gennaio 2004, trattati rispettivamente nei numeri 100, 87 e 76
di SalvaPC News.
CHE DANNI PROVOCA
-----------------
Sober.X, oltre ad inviare un gran numero di messaggi contenenti se stesso,
non crea ulteriori danni nei computer infettati. Tuttavia l'utilizzo delle
risorse del computer e quelle di rete puo' generare instabilita'.
QUALI I SISTEMI A RISCHIO
-------------------------
A rischio sono tutti i sistemi operativi Windows dalla versione 95 in poi,
Windows Server 2003 compreso.
COME FUNZIONA
-------------
Una volta attivato nel computer vittima, Sober.X avverte della sua presenza
presentando un messaggio in una finestra dal titolo "WinZip Self-Extractor"
e con il testo "Error in packed Header".
Subito dopo copia se stesso nelle cartelle di sistema utilizzando come nome
del file i tre seguenti:
csrss.exe
services.exe
smss.exe
Questi nomi di file hanno l'obiettivo di indurre gli utenti a pensare che si
possa trattare di file di Windows (in particolare, si possono confondere con
alcuni "servizi").
Sober.X crea anche una miriade di altri file, alcuni funzionali all'invio di
se stesso agli indirizzi email che trova nel computer infettato, altri dei
quali per ora non e' stata riscontrata alcuna attivita' malevola.
Sober.X si occupa anche del registro di Windows, dove inserisce le chiavi
appropriate per assicurarsi di essere avviato ogni volta viene riacceso il
sistema. Solo a questo punto il worm comincia a testare la connessione ad
Internet ed a cercare nei file presenti nel computer indirizzi email ai
quali autoinviarsi.
COME RICONOSCERLO
-----------------
Il messaggio di posta elettronica che contiene Sober.X puo' presentarsi sia
in inglese che in tedesco e il soggetto puo' essere uno dei seguenti:
Registration Confirmation
Your Password
smtp mail failed
Mail delivery failed
hi, ive a new mail address
You visit illegal websites
Your IP was logged
Paris Hilton & Nicole Richie
Account Information
Ihr Passwort
SMTP Mail gescheitert
Mailzustellung wurde unterbrochen
Ermittlungsverfahren wurde eingeleitet
Sie besitzen Raubkopien
RTL: Wer wird Millionaer
Sehr geehrter Ebay-Kunde
Anche il testo del messaggio viene scelto casualmente tra alcuni
predeterminati. Per conoscere i testi possibili e' possibile seguire i link
di approfondimento in fondo a questo numero di SalvaPC.
L'allegato dell'email puo' avere nomi diversi ma ha sempre l'estensione
".zip" ed ha la dimensione di 55.390 Byte.
COME PROTEGGERSI
----------------
Aggiornare quanto prima le definizioni dei software antivirus. Tutti i
principali produttori hanno rilasciato nelle ultime ore gli aggiornamenti
necessari a proteggere i computer da questa nuova epidemia.
ULTERIORI INFORMAZIONI
----------------------
Una descrizione completa delle funzionalita' di Sober.X e delle sue
caratteristiche e' disponibile qui:
http://www.sarc.com/avcenter/venc/data/w32.sober.x@mm.html
Ulteriori informazioni sono reperibili ai seguenti indirizzi:
http://www.sophos.com/virusinfo/analyses/w32soberz.html
http://it.trendmicro-europe.com/enterprise/vinfo/encyclopedia.php?VName=WORM
_SOBER.AG
----------------------------------------------------------------------
SalvaPC News
supplemento di Punto Informatico (http://punto-informatico.it)
email: redazione@salvapc.com
Url: http://salvapc.com/
SalvaPC News - sicurezza per tutti N. 109 di martedi' 22 novembre 2005
Supplemento a Punto Informatico
----------------------------------------------------------------------
UN ANNO SENZA ALLARMI
---------------------
Si sta diffondendo a macchia d'olio dallo scorso sabato la variante X di
Sober, un "mass mailing worm" che presenta molte caratteristiche comuni con
le precedenti varianti, ovvero l'invio di email contenenti una copia del
worm verso tutti gli indirizzi trovati all'interno del computer infettato.
Solo oggi tuttavia Sober.X e' passato nelle scale degli osservatori
antivirus dalla fase di attenzione a quella di allarme, un evento che negli
ultimi mesi non era piu' accaduto. Sono ora invece attese ulteriori versioni
capaci di creare problemi agli utenti Windows.
Altre varianti di Sober erano gia' state oggetto delle segnalazioni di
SalvaPC, tutte nello scorso anno, il 2004: la I in novembre, la D in marzo e
Sober.C nel gennaio 2004, trattati rispettivamente nei numeri 100, 87 e 76
di SalvaPC News.
CHE DANNI PROVOCA
-----------------
Sober.X, oltre ad inviare un gran numero di messaggi contenenti se stesso,
non crea ulteriori danni nei computer infettati. Tuttavia l'utilizzo delle
risorse del computer e quelle di rete puo' generare instabilita'.
QUALI I SISTEMI A RISCHIO
-------------------------
A rischio sono tutti i sistemi operativi Windows dalla versione 95 in poi,
Windows Server 2003 compreso.
COME FUNZIONA
-------------
Una volta attivato nel computer vittima, Sober.X avverte della sua presenza
presentando un messaggio in una finestra dal titolo "WinZip Self-Extractor"
e con il testo "Error in packed Header".
Subito dopo copia se stesso nelle cartelle di sistema utilizzando come nome
del file i tre seguenti:
csrss.exe
services.exe
smss.exe
Questi nomi di file hanno l'obiettivo di indurre gli utenti a pensare che si
possa trattare di file di Windows (in particolare, si possono confondere con
alcuni "servizi").
Sober.X crea anche una miriade di altri file, alcuni funzionali all'invio di
se stesso agli indirizzi email che trova nel computer infettato, altri dei
quali per ora non e' stata riscontrata alcuna attivita' malevola.
Sober.X si occupa anche del registro di Windows, dove inserisce le chiavi
appropriate per assicurarsi di essere avviato ogni volta viene riacceso il
sistema. Solo a questo punto il worm comincia a testare la connessione ad
Internet ed a cercare nei file presenti nel computer indirizzi email ai
quali autoinviarsi.
COME RICONOSCERLO
-----------------
Il messaggio di posta elettronica che contiene Sober.X puo' presentarsi sia
in inglese che in tedesco e il soggetto puo' essere uno dei seguenti:
Registration Confirmation
Your Password
smtp mail failed
Mail delivery failed
hi, ive a new mail address
You visit illegal websites
Your IP was logged
Paris Hilton & Nicole Richie
Account Information
Ihr Passwort
SMTP Mail gescheitert
Mailzustellung wurde unterbrochen
Ermittlungsverfahren wurde eingeleitet
Sie besitzen Raubkopien
RTL: Wer wird Millionaer
Sehr geehrter Ebay-Kunde
Anche il testo del messaggio viene scelto casualmente tra alcuni
predeterminati. Per conoscere i testi possibili e' possibile seguire i link
di approfondimento in fondo a questo numero di SalvaPC.
L'allegato dell'email puo' avere nomi diversi ma ha sempre l'estensione
".zip" ed ha la dimensione di 55.390 Byte.
COME PROTEGGERSI
----------------
Aggiornare quanto prima le definizioni dei software antivirus. Tutti i
principali produttori hanno rilasciato nelle ultime ore gli aggiornamenti
necessari a proteggere i computer da questa nuova epidemia.
ULTERIORI INFORMAZIONI
----------------------
Una descrizione completa delle funzionalita' di Sober.X e delle sue
caratteristiche e' disponibile qui:
http://www.sarc.com/avcenter/venc/data/w32.sober.x@mm.html
Ulteriori informazioni sono reperibili ai seguenti indirizzi:
http://www.sophos.com/virusinfo/analyses/w32soberz.html
http://it.trendmicro-europe.com/enterprise/vinfo/encyclopedia.php?VName=WORM
_SOBER.AG
----------------------------------------------------------------------
SalvaPC News
supplemento di Punto Informatico (http://punto-informatico.it)
email: redazione@salvapc.com
Url: http://salvapc.com/
posted by againstdarkness at
5.12.05
0 Comments:
Posta un commento
<< Home